Si è scritto tanto all’indomani dell’attacco alla piattaforma Rousseau del 6 settembre scorso ad opera di “r0gue_0”. L’ennesimo attacco cyber, infatti, analizzato anche alla luce dell’altro “raid” condotto contro il sito del patronato Cisl, ha rivelato l’inefficacia di adeguate misure di protezione dei dati personali degli utenti del web.
Eppure il regolamento 2016/679 UE (GDPR) ha avuto un lungo periodo di incubazione e, malgrado ciò, raggiunto la sua piena efficacia dallo scorso 25 maggio sostenuto dalla recente pubblicazione del Decreto legislativo 101 del 04 settembre 2018, che armonizza la normativa nazionale (D.lgs 196/2003) al Regolamento. Ma, ancora una volta, commentiamo la violazione dell’identità degli utenti che operano nello spazio virtuale.
Nel caso della piattaforma Rousseau risulta per di più che il Garante della Privacy, già nel dicembre 2017, aveva rilevato diverse criticità, prescrivendo, tra l’altro, l’adozione di adeguate misure di sicurezza.
Malgrado ciò, r0gue_0, mostra pubblicamente di avere acquisito i privilegi dell’amministratore del database della piattaforma per poi condividere l’indice delle tabelle che ne costituiscono la struttura, delle quali solo alcuni contenuti sono stati resi pubblici.
La circostanza rievoca che, in occasione dello scorso attacco alla piattaforma ed in tempi non sospetti, il White Hat Evariste Galois aveva invano cercato di segnalare alcune vulnerabilità, ed apre il dibattito ad un tema delicato ma sempre più attuale su cui il Legislatore potrebbe auspicabilmente ritenere di intervenire. Si tratta del cosidetto hacking back, ovvero della reazione alle azioni criminali perpetrate nel cyberspazio attraverso le medesime tecniche messe in campo dai white hat (hacker buoni) che della denuncia dei bugs di reti e sistemi fanno la loro missione.
Il dibattito è ancora aperto e non mancherà certo di fornire interessanti spunti di riflessione.
Intanto, la portata del data breach della piattaforma Rousseau e la sua eventuale incidenza, in termini di elevato rischio per i diritti e le libertà delle persone fisiche, potrebbe anche determinare l’obbligo per il titolare del trattamento della notifica agli interessati ai sensi dell’art. 34 del GDPR.
Nelle more degli accertamenti del Garante, non si può non constatare che, ancora una volta, alla continua evoluzione delle tecniche di attacco si dovrebbe rispondere con la messa in campo di misure di sicurezza adeguate, il cui grado di efficacia deve essere periodicamente e continuamente testato, come chiaramente afferma l’art. 32 del GDPR.
A ciò andrebbe aggiunta una costante formazione delle persone che trattano dati personali, per la più elevata diffusione del livello di consapevolezza della minaccia cyber con particolare riferimento agli attacchi di social engineering (phishing).
La sicurezza informatica richiede (e rende quanto mai opportuno) un approccio strutturato che metta in campo una strategia chiara e preordinata al management del rischio, opportunamente valutato in relazione al livello di classificazione degli information assets e quindi al loro livello di criticità e sensitività.
Non si può prescindere inoltre dalla corretta valutazione dei potenziali impatti del rischio valutato e dal precipuo scopo di condurre il rischio residuo, opportunamente mitigato, entro un livello che possa ritenersi accettabile o comunque tollerabile.
Attraverso, dunque, la strutturata costruzione di un framework di information security governance e la messa in campo di effettivi strumenti di assessment, monitoraggio e controllo, nonché di incident management e resilienza operativa, si potranno raggiungere apprezzabili livelli di accountability, che si tradurranno, a regime, in maggiore sicurezza e protezione dei dati personali che affluiscono nei database delle applicazioni web.
